次の方法で共有

EntraID条件付きアクセスで、Teamsが切断される

ドメイン 管理者 0 評価のポイント
2025-09-15T08:21:47.3233333+00:00

EntraID条件付きアクセスで、ExchangeOnlineとSharePointをネームドロケーションからのみアクセス許可するポリシーを作成しました。

これを適用するとTeamsがネームドロケーション外からアクセスできなくなりました。

また、チームの中には携帯電話を持たないものもおり、MFA認証も強制できません。

この場合どのようなポリシーを作成すれば良いのでしょう。ご教示頂きたくお願いいたします。

<モデレーター注>
この質問は「Microsoft365 と Office|Access|ビジネス向け|その他」に投稿されましたが、Microsoft Q&A(ja-jp)ではサポートしていない"Microsoft Security|Microsoft Entra|Microsoft Entra ID"に関する質問内容なので「監視対象外」に変更しました。

コミュニティ センター | 監視されない
0 件のコメント

2 件の回答

並べ替え方法: 最も役に立つ
最も役に立つ 新しい順 古い順
  1. Hebikuzure aka Murachi Akira 325.9K 評価のポイント MVP ボランティア モデレーター
    2025-09-15T11:06:23.9266667+00:00

    Teams の機能は SharePoint と Exchange Online に早期バインドで依存しますので、書かれている動作は正常なものです。

    以下の資料をまずよく確認してください。

    条件付きアクセスのサービスの依存関係 - Microsoft Entra ID | Microsoft Learn

    「ExchangeOnlineとSharePointをネームドロケーションからのみアクセス許可」しつつ、Teams をネームドロケーション外から利用可能にすることはできません。

    この回答は役に立ちましたか?

    0 件のコメント
  2. Jack-Bu 6,775 評価のポイント Microsoft 外部スタッフ モデレーター
    2025-09-15T09:59:41.4466667+00:00

    こんにちは、ドメイン管理者

    Microsoft Q&Aフォーラムへようこそ。ご質問ありがとうございます。

    Entra ID の設定について詳細を共有いただきありがとうございます。現在のポリシーでは、Exchange Online や SharePoint へのアクセスが指定された場所からのみに制限されており、その依存関係により Teams も同様に外部からのアクセスがブロックされてしまうという課題を理解しました。また、携帯電話を持たないユーザーに対して MFA(多要素認証)を強制するには、代替手段が必要です。

    セキュリティを損なうことなくこの問題を解決するには、Office 365(Exchange、SharePoint、Teams を含む)へのアクセスに対して、指定された場所以外からのアクセスには MFA を要求する新しいポリシーを作成することをお勧めします。この方法では、場所ベースの厳格なブロックから、どこからでもアクセス可能にしつつ、指定された場所以外では MFA を追加の制御として導入する形になります。Teams は Exchange Online や SharePoint Online に依存しているため、これらのサービスを完全にブロックすると Teams も使用できなくなります。

    以下がそのポリシーの詳細です:

    ポリシー名:「指定された場所以外の Office 365 に対して MFA を要求」

    割り当て:

    • ユーザーまたはワークロード ID:すべてのユーザー(または特定のグループ)。MFA を使用できないユーザーは除外し、別途ブロックポリシーを適用。
    • 対象リソース > クラウドアプリ:Office 365(Exchange、SharePoint、Teams などを含む)。
    • 条件 > 場所:すべての場所。ただし、指定された場所(例:社内 IP)を除外。
    • アクセス制御 > 許可:アクセスを許可 > 多要素認証を要求。
    • セッション(任意):指定された場所以外では、サインイン頻度を 1 時間ごとなどに設定可能。
    • ポリシーの有効化:まずは「レポートのみ」モードでテストし、その後「オン」に切り替え。他のブロックポリシーより優先順位を高く設定。

    このポリシーにより以下が実現されます:

    • Teams はどこからでも使用可能(指定された場所以外では MFA を要求、社内では不要)。
    • Exchange と SharePoint は指定された場所以外では MFA により保護される。

    携帯電話を持たないチームメンバーに対しても、Entra ID がサポートする以下の方法で MFA を強制できます:

    • Microsoft Authenticator アプリを代替デバイスにインストール:タブレット、ノートPC、デスクトップなど(プッシュ通知や時間ベースのコードで SMS 不要)。
    • ハードウェア OATH トークン:物理的なトークン(例:YubiKey など)でコードを生成。Entra ID に登録可能。
    • FIDO2 セキュリティキー:USB または NFC キー(例:YubiKey 5)でパスワードレスまたは MFA 認証。
    • 証明書ベースの認証:デバイスにデジタル証明書を設定して MFA を実施(Intune などで設定が必要)。
    • Windows Hello for Business:Windows デバイスを使用している場合、デバイスに紐づいた生体認証や PIN による MFA を有効化。

    ユーザーは以下のリンクからこれらの方法を登録できます: https://mysignins.microsoft.com/security-info

    パイロットグループでテストを行い、Entra ID のサインインログを監視してください。実装に関して問題が発生した場合や支援が必要な場合は、お知らせください。喜んでお手伝いします。

    この回答が参考になった場合は、 “回答を承認” をクリックし、ぜひ “賛成票” をお願いします。

    この回答について追加の質問がある場合は、 “コメント” をクリックしてください。

    ※このスレッドに関するメール通知を受け取りたい場合は、弊社のドキュメントに記載された手順に従って、メール通知を有効にしてください。

    この回答は役に立ちましたか?

お客様の回答

質問作成者は回答に "承認済み"、モデレーターは "おすすめ" とマークできます。これにより、ユーザーは作成者の問題が回答によって解決したことを把握できます。